Tan sólo en 2020 las empresas de todo el mundo pagaron más de 18,000 millones de dólares en rescates por ataques de ransomware. Los años subsiguientes, el panorama no ha mejorado. La amenaza se extiende a todas las empresas y el sector salud ha sido particularmente golpeado. Los ataques de ransomware contra hospitales son lanzados por diferentes actores, pero entre los más peligrosos se encuentra el grupo de hackers de origen ruso autodenominado Conti, originalmente conocido como Ryuk.
Conti hizo estragos en el sector de la salud. Un solo ataque de Ryuk/Conti en mayo de 2021 contra el sistema de salud pública de Irlanda provocó interrupciones masivas en la atención médica. Los costos de recuperación del ataque probablemente superarán 600 millones de dólares. La firma de software de seguridad Emsisoft descubrió que, tan sólo en Estados Unidos, el año pasado hubo al menos 68 ataques de ransomware contra hospitales y proveedores de atención médica.
Ahora bien, no todos los ataques de ransomware contra hospitales se notifican. Un porcentaje importante de las víctimas optan por pagar el rescate. Buscan recuperar sus datos y evitar el golpe a su prestigio si el ataque se conoce. El porcentaje puede ser tan alto como 60%, según cifras del proveedor de seguridad de correo electrónico Proofpoint.
De acuerdo con una advertencia del FBI, hasta 2021 más de 400 organizaciones en todo el mundo habían sido víctimas de Conti. Los montos de los rescates variaron ampliamente. Los más altos alcanzaron 25 millones de dólares. Una investigación de la agencia estadounidense y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) señala que Ryuk/Conti puede estar latente en las redes de cientos de hospitales. Es posible que sea reactivado en cualquier momento.
Ciberseguridad ofensiva
Muchos ataques de ransomware contra hospitales pueden destruir las operaciones comerciales de empresas grandes y pequeñas. Puede ser por un costoso revés temporal, por una marca negra indeleble en su reputación o, más a menudo, por ambos efectos. Durante los ataques de ransomware contra hospitales, el resultado específico puede ser incierto. Sin embargo, la interrupción es inevitable. Peor aún: la amenaza de destrucción de datos sensibles o su divulgación se cierne sobre la víctima.
La mayoría de los expertos coinciden en que la prevención es el mejor enfoque. El reto es que la tecnología sólo puede llevarnos hasta cierto punto. Los más recientes ataques de ransomware eluden los controles tradicionales. Utilizan credenciales de acceso autorizadas e insertan código malicioso en procesos de negocio legítimos.
Prepararse mejor para los ataques de ransomware requiere una buena comprensión de los motivos, modos, métodos y movimientos de los atacantes. Para ello existen recursos como la guía publicada por Bishop Fox, firma especializada en ciberseguridad ofensiva. Entre sus soluciones se cuentan pruebas de penetración continuas, red teaming, gestión de superficies de ataque, evaluaciones de seguridad de productos, de la nube y de aplicaciones.
Modo y motivos del ransomware contra hospitales
●Motivos: ¿Qué les lleva a dirigirse a sus víctimas y a lanzar ataques?
Si algo es valioso para una empresa, entonces es valioso para los cibercriminales. Antiguamente, los atacantes se dirigían hacia activos o datos con valor intrínseco. Números de tarjetas de crédito, credenciales, información personal identificable, básicamente cualquier dato que pudiera venderse en los mercados negros. Una de las principales innovaciones de los grupos de ransomware es la monetización del acto de comprometer información. Al secuestrar información y venderla de vuelta a su propietario original pueden ganar dinero de casi cualquier compañía.
●Modo: ¿Cómo se puede caracterizar su comportamiento? ¿Qué nos dice?
Es oportunista. Los atacantes de ransomware están interesados en encontrar el camino que ofrece la menor resistencia y que les haga ganar dinero. Es más probable que exploten vulnerabilidades ya conocidas en lugar de pasar semanas probando una aplicación personalizada para encontrar algo completamente novedoso. No es que sean incapaces, sino que podrían invertir ese tiempo explotando a otra organización.
Esto contrasta con los atacantes que tienen motivos políticos o el hacktivismo. Estos hackers están interesados en un objetivo específico y evadirán la detección en su camino para conseguirlo, aunque sea por el camino difícil.
Ruta habitual
●Los métodos: ¿Qué herramientas utilizan y cómo las utilizan?
Para que el ransomware sea rentable, la víctima tiene que pagar el rescate. Si se infligen daños permanentes o se pierden datos, ¿qué incentivo hay para pagar a quienes lo hicieron? Es todo un reto de ingeniería secuestrar una amplia gama de activos técnicos heterogéneos y que su liberación se dé en un entorno sencillo y no destructivo. Por esta razón, los grupos de ransomware están organizados y las herramientas que utilizan están probadas.
Los grupos de ransomware son conocidos por emplear líneas de atención al cliente. El propósito es guiar a sus víctimas paso a paso. Desde la compra de las Bitcoin y su transferencia, hasta el descifrado de las máquinas. Suelen emplear el idioma natal de la víctima. Después de todo, quieren que la organización sepa que tras pagar el rescate recuperará sus datos.
Por lo demás, el ransomware no difiere mucho de otros tipos de ataques desde una perspectiva puramente técnica. Los atacantes necesitan encontrar un punto de entrada inicial, pivotar en el entorno, escalar privilegios y detonar sus cargas útiles. Son pasos conocidos en el proceso de explotación.
●Movimientos: Una vez que están dentro, ¿qué es lo que sigue?
El atacante será descarado. Los atacantes suelen operar en países fuera de las fronteras jurisdiccionales occidentales. Pueden ser más agresivos. Sólo se preocupan por ser atrapados si les hace perder dinero al ser expulsados de la red que atacan antes de infectar a tantas máquinas como sea posible.
Higiene cibernética, freno al ransomware contra hospitales
Aunque las copias de seguridad pueden anular la necesidad de un desencriptador, no pueden impedir el chantaje o la revelación de datos sensibles, independientemente de cómo responda la víctima. Al fin y al cabo, incluso si se les atrapa y se frustra el ataque, simplemente continuarán con otro objetivo. No pasarán tiempo en la cárcel, por lo que no es un gran problema para ellos.
Esto significa que acecharán alrededor de una red para tratar de recoger el mayor número de activos posible rápidamente. Cada máquina no comprometida es un potencial servidor de respaldo que puede socavar toda la operación.
Gracias al Ransomware-as-a-Service, estos ataques están disponibles para un mercado masivo con operaciones e infraestructuras de soporte de nivel empresarial. La mejor manera de protegerse contra el ransomware no es ningún secreto. Se trata de ciberhigiene. Es decir, se deben parchar las aplicaciones y los sistemas operativos.
También aplicar el principio del mínimo privilegio en todas partes, por ejemplo, proteger el acceso con contraseñas seguras que no se compartan. Además, hay que desactivar los puertos, protocolos y aplicaciones innecesarias, segmentar las redes y utilizar el cifrado entre otras acciones. Por supuesto, se debe ejecutar un programa regular de copia de seguridad y recuperación del sistema.